你可以的,加油

ES7.3安全漏洞CVE-2011-1473求助大佬

Elasticsearch | 作者 my_libl | 发布于2019年09月06日 | 阅读数:6659

求助各位大佬!!!
  ES版本:7.3
  系统:7.3
  启用了xpack.security.enabled: true并配置了https和访问认证功能配置如下,近期部门安全扫描出现安全漏洞CVE:CVE-2011-1473

##启动ES的浏览使用https方式
xpack.security.http.ssl.enabled: true
##验证主机名、ip、dns使用full,如果只验证证书使用certificate参数,如果不验证证书使用none参数
#xpack.security.http.ssl.verification_mode: certificate
##验证路径
xpack.security.http.ssl.keystore.path: /etc/elasticsearch/ca/my-es.p12
xpack.security.http.ssl.truststore.path: /etc/elasticsearch/ca/my-ES.p12
xpack.security.http.ssl.client_authentication: none


http.ssl访问证书时使用的密码信息存储在密钥库中
因使用了密码保护所以需要执行并且输入密码
elasticsearch-keystore add xpack.security.http.ssl.keystore.secure_password
elasticsearch-keystore add xpack.security.http.ssl.truststore.secure_password


近期部门安全扫描出现安全漏洞CVE:CVE-2011-1473
描述:该漏洞存在于SSL renegotiation的过程中。对于使用SSL重协商功能的服务都会受其影响。特别的,renegotiation被用于浏览器到服务器之间的验证。虽然目前可以在不启用renegotiation进程的情况下使用HTTPS,但很多服务器的默认设置均启用了renegotiation功能。该漏洞只需要一台普通电脑和DSL连接即可轻易攻破SSL服务器。而对于大型服务器集群来说,则需要20台电脑和120Kbps的网络连接即可实现。SSL是银行、网上电子邮件服务和其他用于服务器和用户之间保护私人数据并安全通信必不可少的功能。所以本次拒绝服务漏洞影响范围非常广危害非常大。
已邀请:

0c0c0f

赞同来自:

这个不是es问题 是openssl的问题吧 升级openssl不行么?

zqc0512 - andy zhou

赞同来自:

this is openssl http://cve.mitre.org/cgi-bin/c ... -1473
need update to 1.x+

要回复问题请先登录注册